云服務的廣泛使用和“以數據為中心”的應用增加導致了在大量的數據存儲中包含了隱私信息。而在訪問這些海量數據的時候，就會產生一個名為“影子訪問”（Shadow Access）的新威脅。

從本質上說，影子訪問就是對云數據、應用系統的不受監控、未經授權、不可見、不安全以及被過度許可的訪問，最重要的是，它正隨著云身份、應用程序和數據的增長而增長。影子訪問增加了云上數據泄露的風險，并進一步引發訪問合規、審計和治理方面的風險威脅。在企業組織中，任何形式的影子訪問都不應該存在，其引發的后果往往會是災難性的，并威脅到任何向云上轉型發展的組織。

云身份發展的新特性

企業需要給云中運行的所有應用都賦予一個身份，這樣才可以安全訪問關鍵的云服務、供應鏈或數據。因此，云應用訪問武器化是云計算應用發展的一個重要問題。據Verizon最新發布的《數據泄露調查報告（DBIR）》強調，80%的數據泄露與身份訪問權限異常有關。數以兆計的數據被存儲在云平臺上，這推動了對這些數據訪問的巨大需求，但是當企業組織自動創建了大量的身份訪問權限時，有時卻沒有賦予任何治理措施。

開發人員和產品團隊正在迅速將云服務與數據結合起來，以創建新的應用程序，如人工智能聊天機器人、客戶數據平臺、軟件供應鏈和第三方SaaS。這就催生了不斷擴大的云訪問面，同時也創建了不可見和易受攻擊的訪問鏈，外部攻擊者可以迅速將其武器化，以竊取敏感數據。

在很多傳統企業中，普遍依賴IAM系統為身份認證提供授權和憑證，并且會和企業的HR系統進行關聯。然而，隨著業務上云、生態協作、多云混合等場景涌現，以及移動互聯、IoT設備的普及，大量設備接入和上云讓企業身份信任邊界外延，傳統IAM方案已經滿足不了現代企業數字化發展中的身份和訪問治理需求。

隨著云應用日益突出，云IDP（Identity Provider，身份提供商）系統開始出現，云應用程序并不部署在企業內部。因此，企業需要將傳統的本地IAM系統與新一代的云IDP（如Okta、Azure AD或Ping Identity）結合或協同運行。

云計算的出現還引入了“云IAM”的新概念，用于預置和控制對云上資源、應用程序和數據的訪問和授權，并且會被部署在公共云生態系統中。云IAM和傳統IAM有很大的不同，因為它主要是針對“云身份（Cloud Identities）”進行分類和檢查。首先了解下“云身份”的一些關鍵特點：

• 企業在云中運行的所有應用都需要有一個身份，可以訪問關鍵的云服務、供應鏈元素或數據。云服務提供商通過像云IAM這樣的關鍵服務控制這些身份的提供和訪問；
• 在云中，每個訪問請求在被授予訪問權限之前都經過身份驗證和授權；
• 云身份可以是人類或非人類身份。人類身份主要是終端用戶、開發人員、DevOps和云管理員。非人類身份則是由附加到云服務、API、微服務、軟件供應鏈、云數據平臺等的身份組成；
• 云的一個強大之處在于它的“可編程性”。開發人員通過編程方式組合云服務、API和數據來創建應用程序，從而釋放出這種能力。現代云應用實際上是由API驅動的許多分布式服務的集合，跨越提供商及其生態系統。當開發人員結合云服務時，他們創建了具有訪問數據路徑的自動身份；
• 云的另一個特性是自動化。云計算團隊使用基礎設施即代碼的自動化功能來輕松地啟動和定義他們的云資源、云身份及其訪問。在此過程中，一個原則是“自動化第一，治理第二”。

影子訪問的產生

云計算創造了一個“以身份為中心”的世界，圍繞它們的差異性導致了影子訪問的根本原因。影子訪問產生的根本原因不僅源于擁有云身份，還源于云驅動的身份應用復雜性和管理流程的變化。

從復雜性的角度來看，主要包括：

• 數據不再存儲在單個數據存儲中。云數據存儲和數據共享應用程序在云和SaaS環境中激增。
• 應用程序并非單一的，而是由相互關聯的身份系統、云服務和數據組成的令人眼花繚亂的組合。
• 連接云生態系統的SaaS應用程序的使用大幅增加。
• 每個云服務都有相關的權限和權利，為敏感數據和操作提供授權。
• 與傳統的本地環境相比，云環境的權限和授權規模更大，復雜程度也更高。
• 組織使用多云和公共/私有云環境的組合。

而流程變化主要體現在：

• 新的身份和訪問通常由開發人員使用基礎設施即代碼集中創建。
• 新身份的配置文件通常是從一個模板中復制的。
• 自動創建新的身份和訪問，幾乎沒有任何治理措施。
• 身份訪問的應用程序不斷變化，沒有完整的訪問審查。
• 為了提高速度，應用程序組件經常被重用、復制或用于多個應用程序。
• 越來越多的SaaS和第三方應用程序沒有正式的安全審查。
• 應用程序訪問的數據存儲在不斷變化。

由于云應用程序是分布式且不斷發展的，因此一個元素的更改就可能會對整體暴露產生意想不到的后果。正是這種應用程序的高度復雜和不斷發展的性質，以及圍繞云身份創建和持續審查的流程中斷，導致了影子訪問和其他相關威脅的大規模暴露。

影子訪問的主要類型

影子訪問存在多種類型，具體是由身份（即第三方、開發人員、過期賬戶、機器身份）與訪問類型的組合創建的，例如休眠訪問、鏈式訪問（或二次訪問）、未經授權的訪問（通過惡意系統或IP）等。

• 不可見訪問：在某些時候，云服務控制臺沒有顯示存儲桶的有效權限，導致存儲桶保持打開狀態；
• 意外/未授權訪問：云應用系統被惡意代碼植入，導致未授權的外部訪問處于打開狀態；
• 過度訪問：管理員在只需要訪問特定數據存儲或云服務的情況下，提供具有完全訪問權限的策略；
• 休眠訪問：具有完全訪問權限的策略在60天內未使用，但仍可用于分配角色；
• 跨賬戶訪問：對于很多已經不再是客戶的老舊身份，仍然啟用了跨賬戶共享；
• 高風險訪問：客戶危急情況允許開發人員訪問資源，但在情況解決后沒有撤銷權限；
• 有毒組合（TOXIC COMBINATION）：通過應用程序身份以及權限管理權限對數據存儲桶進行編程訪問；
• 未使用的數據：類似于休眠訪問，指的是數據在一定時間內沒有使用，但訪問權限仍然是啟用狀態。

影子訪問的危害

影子訪問的存在會給企業造成很多災難性后果，一個代表性的事例就是CircleCI漏洞。在此事件中，未經授權的惡意行為者于2022年12月22日泄露了客戶信息，其中包括第三方系統的環境變量、密鑰和令牌。更糟糕的是，當企業在進行事件處置時，無法準確掌握這些被盜的密鑰是否已被用來攻擊他們的云賬戶，因為CircleCI或當前任何安全工具都無法滿足這個需求。

研究人員發現，現代企業中的很多部門或人員都受到了影子訪問風險的影響，其危害具體包括：

• 現有安全治理工具無法識別大量的云身份和訪問路徑。
• 影子訪問導致的治理和可見性缺口使得IAM 防護很難實現。
• 那些無法識別的訪問路徑讓更多漏洞被利用來破壞云數據。
• 威脅行為者可以將可編程訪問武器化，造成遠遠超出數據泄露的傷害。
• 連接到云生態系統的第三方和SaaS應用程序會帶來橫向移動風險。
• 影子訪問的存在造成了數據安全、審計和合規風險，并造成了政策和治理缺口。

影子訪問的防護建議

為了有效應對影子訪問的產生及風險，企業必須重點解決以下三個關鍵問題：

• 太多的警報和安全工具：很多企業使用了太多的身份認證工具，這些工具會產生太多的安全警告，但是這根本無法防止云上的數據泄露和盜竊。
• 數據分散導致的可見性確實：當前的安全工具缺乏對統一身份管理的全局可見性，因為這些數據分布在不同的工具中，包括云IAM、云IDP、基礎設施即代碼、數據存儲和HR系統。而訪問管理措施也分散在票務系統、電子郵件、電子表格和屏幕截圖等各類應用中。
• 手動、靜態的管理流程：很多企業所部署的IAM系統，其治理和合規管理還是手動的、靜態的，甚至還是在依靠電子表格、截圖和電子郵件來收集有關誰有權訪問哪些數據、誰正在訪問哪些數據以及訪問方式的變化。

研究人員建議，企業應該立即建立以下舉措來應對：

• 建立“萬物訪問（all things access）”的單一事實來源，通知基于風險的訪問控制，以保護數據和云的治理。
• 全面整合IAM系統的各類型數據，以獲得云IAM操作所需的跨身份、訪問、數據狀態和治理的連接上下文。
• 實現自動、準確和及時地報告數據訪問，簡化云訪問審計流程，并使治理形成閉環，以控制跨開發和生產環境的數據盜竊訪問。

參考鏈接：

https://stackidentity.com/shadow-access-in-your-cloud/。

https://stackidentity.com/wp-content/uploads/2023/05/Stack_Identity_ShadowAccess_Ebook_Final.pdf。